KR102312019B1 - Firewall control device and firewall policy management system including the same - Google Patents

Firewall control device and firewall policy management system including the same Download PDF

Info

Publication number
KR102312019B1
KR102312019B1 KR1020200135619A KR20200135619A KR102312019B1 KR 102312019 B1 KR102312019 B1 KR 102312019B1 KR 1020200135619 A KR1020200135619 A KR 1020200135619A KR 20200135619 A KR20200135619 A KR 20200135619A KR 102312019 B1 KR102312019 B1 KR 102312019B1
Authority
KR
South Korea
Prior art keywords
policy
firewall
information
application
request message
Prior art date
Application number
KR1020200135619A
Other languages
Korean (ko)
Inventor
강덕호
정규병
안재억
박준범
Original Assignee
현대오토에버 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 현대오토에버 주식회사 filed Critical 현대오토에버 주식회사
Priority to KR1020200135619A priority Critical patent/KR102312019B1/en
Application granted granted Critical
Publication of KR102312019B1 publication Critical patent/KR102312019B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • H04L67/2809

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An embodiment provides a firewall control device and a system including the same for automatically applying and managing an access control policy of a firewall device. A firewall policy management system comprises: an automation management device configured to generate and transmit a policy application request message in a standardized format; and an API broker device configured to transmit the policy application request message to one application target device.

Description

방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템{FIREWALL CONTROL DEVICE AND FIREWALL POLICY MANAGEMENT SYSTEM INCLUDING THE SAME}FIREWALL CONTROL DEVICE AND FIREWALL POLICY MANAGEMENT SYSTEM INCLUDING THE SAME

본 실시예는 대규모 엔터프라이즈 환경에서 방화벽 정책 관리를 자동화하기 위한 장치 및 시스템에 관한 것이다.This embodiment relates to an apparatus and system for automating firewall policy management in a large-scale enterprise environment.

방화벽 장치는 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 방화벽 정책에 따라 허용, 차단, 수정하는 능력을 가진 보안 장치를 의미한다.A firewall device refers to a security device that has the ability to select, allow, block, or modify information transmitted between a network and the Internet within a company or organization according to a firewall policy.

이러한 방화벽 장치는 공용 인터넷과 내부 네트워크 사이, 다수의 랜(LAN: Local Area Network) 사이 또는 이종의 네트워크들 사이에 자리하여 무권한 패킷(Packet)이 내부 네트워크로 들어오지 못하게 하고, 내부 네트워크 안에서 발생할 수 있는 무권한 패킷을 차단할 수 있다.These firewall devices are located between the public Internet and the internal network, between multiple LANs (Local Area Network), or between heterogeneous networks to prevent unauthorized packets from entering the internal network and can occur within the internal network. Unauthorized packets can be blocked.

기업이나 조직의 규모가 큰 경우, 내부 네트워크의 규모도 커지게 되고, 내부 네트워크에 설치되는 방화벽 장치와 정책의 개수 또한 많아지게 된다.When a company or organization is large, the size of the internal network also increases, and the number of firewall devices and policies installed in the internal network also increases.

여기서, 방화벽 장치는 출발지 IP(Internet Protocol), 목적지 IP, 목적지 포트(Port), 애플리케이션 종류, URL(Uniform Resource Locator), 사용기한, 정보의 허용 또는 차단 여부 등을 포함한 방화벽 정책에 따라 동작한다.Here, the firewall device operates according to a firewall policy including a source IP (Internet Protocol), a destination IP, a destination port, an application type, a Uniform Resource Locator (URL), an expiration date, and whether information is allowed or blocked.

대규모의 내부 네트워크에는 다수의 IP(Internet Protocol) 주소와 다수의 포트(Port)가 존재하고, 이러한 다수의 IP주소와 다수의 포트를 통해 출발지 IP와 목적지 IP가 다양하게 조합될 수 있기 때문에 내부 네트워크에 포함된 방화벽 장치들에 적용되는 방화벽 정책의 수가 적게는 수천개에서 많게는 수백만개까지 존재하게 된다.In a large-scale internal network, multiple Internet Protocol (IP) addresses and multiple ports exist, and source IP and destination IP can be variously combined through these multiple IP addresses and multiple ports. The number of firewall policies applied to the firewall devices included in the .

종래에는 위와 같은 대량의 방화벽 정책들에 대한 업데이트, 신규 정책 추가, 미사용 정책 관리, 기간 만료 정책 관리, 내부 보안 지침을 위반한 정책의 추출/분석 등과 같은 대부분의 정책 관리를 수작업으로 진행하였기 때문에 대규모의 운영 공수가 발생하게 된다.Conventionally, most of the policy management, such as updating of the above large number of firewall policies, adding new policies, managing unused policies, managing expired policies, and extracting/analyzing policies that violated internal security guidelines, was performed manually. of operation will occur.

그리고 내부 네트워크에 설치되는 방화벽 장치들의 제조사와 모델이 다양하고, 제조사 및 모델별로 방화벽의 운영체제, API(Application Programming Interface) 등이 상이하기 때문에 이를 통합적으로 관리하기 위한 방안이 필요한 실정이다.In addition, since the manufacturers and models of firewall devices installed in the internal network are diverse, and the operating system and API (Application Programming Interface) of the firewall are different for each manufacturer and model, there is a need for a method for integrated management.

이러한 배경에서, 본 실시예의 목적은, 일 측면으로, 방화벽 장치의 접근 통제 정책을 자동으로 적용 및 관리하기 위한 방화벽 제어 장치 및 이를 포함한 시스템을 제공하는 것이다.Against this background, an object of the present embodiment is, in one aspect, to provide a firewall control device and a system including the same for automatically applying and managing an access control policy of the firewall device.

전술한 목적을 달성하기 위하여, 일 실시예는, 하나 이상의 신규 정책 정보에 대한 유효성을 검증하고, 내부 네트워크에 설치된 다수의 방화벽 장치 중에서 상기 하나 이상의 신규 정책 정보를 적용할 방화벽 장치인 적용 대상 장치를 하나 이상 선정하며, 상기 하나 이상의 적용 대상 장치에 적용된 기적용 정책 정보와 상기 하나 이상의 신규 정책 정보를 병합한 후에 상기 하나 이상의 적용 대상 장치 중에서 일 적용 대상 장치의 정책 적용 시각이 도래하면, 정책 정보의 병합으로 인해 갱신된 정책 정보 또는 추가된 정책 정보와 상기 일 적용 대상 장치의 방화벽 장치 정보를 포함하는 정책 적용 요청 메시지를 표준화된 형식으로 생성 및 전달하는 자동화 관리 장치; 및 상기 자동화 관리 장치로부터 상기 정책 적용 요청 메시지를 전달받고, 상기 정책 적용 요청 메시지에서 상기 방화벽 장치 정보를 확인한 후에 상기 방화벽 장치 정보에 해당하는 특정 API(Application Programming Interface) 구문 정보를 사용하여 상기 정책 적용 요청 메시지를 변환하며, 상기 일 적용 대상 장치의 통신 프로토콜을 이용하여 상기 변환한 정책 적용 요청 메시지를 상기 일 적용 대상 장치로 전달하는 API 브로커 장치를 포함하는 방화벽 정책 관리 시스템을 제공한다.In order to achieve the above object, an embodiment verifies the validity of one or more new policy information, and selects an application target device that is a firewall device to which the one or more new policy information is to be applied from among a plurality of firewall devices installed in the internal network. After selecting one or more and merging the new policy information and the one or more new policy information applied to the one or more application target devices, when the policy application time of one application target device from among the one or more application target devices arrives, the policy information an automated management device for generating and delivering a policy application request message including updated policy information or added policy information due to merging and firewall device information of the one application target device in a standardized format; and receiving the policy application request message from the automation management device, and after checking the firewall device information in the policy application request message, applying the policy using specific application programming interface (API) syntax information corresponding to the firewall device information There is provided a firewall policy management system including an API broker device that converts a request message and transmits the converted policy application request message to the one application target device by using the communication protocol of the one application target device.

하나 이상의 신규 정책 정보 각각은 출발지 IP(Internet Protocol), 목적지 IP, 목적지 포트 번호, 상기 적용 대상 장치에서 접근을 통제하는 하나 이상의 애플리케이션 정보, 하나 이상의 URL(Uniform Resource Locator) 정보 및 정책 사용 기한을 포함하고, 상기 자동화 관리 장치는 상기 출발지 IP와 목적지 IP까지의 네트워크 경로 상에 존재하는 하나 이상의 방화벽 장치를 탐색하고, 탐색한 하나 이상의 방화벽 장치를 상기 적용 대상 장치로 선정할 수 있다.Each of the one or more new policy information includes a source IP (Internet Protocol), a destination IP, a destination port number, one or more application information that controls access from the applied target device, one or more URL (Uniform Resource Locator) information, and a policy expiration date and, the automated management device may discover one or more firewall devices existing on a network path from the source IP to the destination IP, and select one or more discovered firewall devices as the application target device.

자동화 관리 장치는 표준화된 메시지 교환 방식을 통해 상기 정책 적용 요청 메시지를 상기 API 브로커 장치로 전달할 수 있다.The automated management device may deliver the policy application request message to the API broker device through a standardized message exchange method.

API 브로커 장치는 상기 다수의 방화벽 장치 각각에 대한 Qos(Quality Of Service) 정보를 저장할 수 있다.The API broker device may store Quality Of Service (Qos) information for each of the plurality of firewall devices.

API 브로커 장치는 상기 정책 적용 요청 메시지의 데이터량과 상기 일 적용 대상 장치의 Qos 정보에 포함된 단위 시간당 데이터 전송 허용량을 비교한 후에 상기 정책 적용 요청 메시지의 데이터량이 상기 단위 시간당 데이터 전송 허용량을 초과하되 초과량이 일정 기준 미만이면, 큐(Queue) 처리 방식을 통해 상기 정책 적용 요청 메시지를 상기 일 적용 대상 장치에 전달할 수 있다.The API broker device compares the data amount of the policy application request message with the permissible data transmission per unit time included in the Qos information of the one application target device, and then the data amount of the policy application request message exceeds the permissible data transmission per unit time. If the excess amount is less than a predetermined standard, the policy application request message may be delivered to the one application target device through a queue processing method.

자동화 관리 장치는 상기 다수의 방화벽 장치에 적용중인 다수의 적용 정책 정보 중에서 적용 기간이 기설정된 기준을 초과하는 하나 이상의 적용 정책 정보를 선별하고, 상기 하나 이상의 적용 정책 정보 각각의 적중 횟수(Hit Count)를 확인한 후에 상기 하나 이상의 적용 정책 정보 중에서 적중 횟수가 "0"인 미사용 정책 정보가 존재하면, 상기 미사용 정책 정보에 대한 검토 요청 메시지를 생성하여 상기 정책 관리 시스템을 관리하는 관리자 단말기로 상기 검토 요청 메시지를 전송할 수 있다.The automated management device selects one or more application policy information for which an application period exceeds a preset criterion from among a plurality of application policy information being applied to the plurality of firewall devices, and hits each of the one or more application policy information (Hit Count) After checking, if there is unused policy information with a hit count of “0” among the one or more applied policy information, a review request message is generated for the unused policy information and the review request message is sent to an administrator terminal that manages the policy management system. can be transmitted.

다른 실시예는, 신규 정잭 정보가 적용될 방화벽 장치인 일 적용 대상 장치의 방화벽 장치 정보를 포함한 정책 적용 메시지를 전달받고, 상기 정책 적용 메시지의 데이터량과 상기 방화벽 장치 정보에 해당하는 단위 시간당 데이터 전송 허용량을 비교하여 상기 정책 적용 요청 메시지의 데이터량이 상기 단위 시간당 데이터 전송 허용량을 초과하되, 초과량이 일정 기준 미만이면, 큐(Queue) 처리 방식을 통해 상기 정책 적용 요청 메시지를 분할해서 전달하는 Qos(Quality Of Service) 제어부; 다수의 방화벽 모델별로 상이한 통신 프로토콜이 적용된 다수의 모델별 통신 모듈을 포함한 방화벽 모델별 통신부; 및 상기 Qos 제어부로부터 상기 정책 적용 요청 메시지를 분할해서 전달받고, 상기 방화벽 장치 정보에 해당하는 특정 API(Application Programming Interface) 구문 정보를 사용하여 상기 정책 적용 요청 메시지를 변환한 후에 상기 방화벽 장치 정보에 해당하는 통신 프로토콜이 적용된 특정 통신 모듈을 통해 상기 변환한 정책 적용 요청 메시지를 상기 일 적용 대상 장치로 전달하는 API 변환부를 포함하는 방화벽 제어 장치를 제공한다.In another embodiment, a policy application message including firewall device information of an application target device, which is a firewall device to which new static jack information is to be applied, is delivered, and a data amount of the policy application message and a permissible amount of data transmission per unit time corresponding to the firewall device information The data amount of the policy application request message exceeds the permissible data transmission per unit time by comparing Service) control unit; a communication unit for each firewall model including a communication module for each model to which different communication protocols are applied for a plurality of firewall models; and dividing the policy application request message from the Qos control unit, converting the policy application request message using specific application programming interface (API) syntax information corresponding to the firewall device information, and then corresponding to the firewall device information It provides a firewall control device including an API converter for transferring the converted policy application request message to the one application target device through a specific communication module to which a communication protocol is applied.

API 변환부는 상기 변환한 정책 적용 요청 메시지를 분할해서 상기 일 적용 대상 장치로 전달할 수 있다.The API conversion unit may divide the converted policy application request message and deliver it to the one application target device.

큐 처리 방식은 FIFO(First In First Out) 방식, PQ(Priority Queuing) 방식, FQ(Fair Queuing) 방식 및 WFQ(Weighted Fair Queuing) 방식을 포함할 수 있다.The queue processing method may include a First In First Out (FIFO) method, a Priority Queuing (PQ) method, a Fair Queuing (FQ) method, and a Weighted Fair Queuing (WFQ) method.

이상에서 설명한 바와 같이 본 실시예에 의하면, 정책 관리 시스템에서 하나 이상의 신규 정책 정보에 대한 유효성 검증, 적용 대상 장치 선정, 적용 정책정보와의 병합, 정책 적용에 대한 스케줄 관리를 자동적으로 수행할 수 있고, 신규 정책 정보를 적용 대상 장치에 적합한 API 구문으로 변환할 수 있기 때문에 방화벽 정책의 신규 적용을 위한 인력 소모가 최소화될 수 있다.As described above, according to this embodiment, the policy management system can automatically perform validation of one or more new policy information, selection of an application target device, merging with applied policy information, and schedule management for policy application, , since new policy information can be converted into API syntax suitable for the application target device, manpower consumption for new application of the firewall policy can be minimized.

또한, 대규모 정책 중에서 미사용 정책, 기간 만료 정책, 내부 보안 지침에 위배되는 정책 분석/개선 등을 자동화함으로써 운영 인력의 최소화 및 기업의 내부 네트워크에 대한 보안을 강화할 수 있다.In addition, by automating unused policies, expiration policies, and policy analysis/improvement that violates internal security guidelines among large-scale policies, it is possible to minimize operational manpower and strengthen the security of the company's internal network.

도 1은 일 실시예에 따른 정책 관리를 위한 시스템들 간의 연결 관계를 간략하게 나타낸 도면이다.
도 2는 일 실시예에 따른 정책 관리 시스템의 구성을 간략하게 나타낸 도면이다.
도 3은 정책 관리 시스템에 포함된 자동화 관리 장치 및 API 브로커 장치의 구성을 나타낸 도면이다.
도 4는 일 실시예에 따른 정책 적용 대상 방화벽 장치를 선정하는 구성을 설명하기 위한 도면이다.
도 5는 일 실시예에 따른 정책 최적화부의 정책 병합 과정을 설명하기 위한 도면이다.
도 6은 일 실시예에 따른 자동화 관리 장치의 추가 구성을 설명하기 위한 도면이다.1 is a diagram schematically illustrating a connection relationship between systems for policy management according to an embodiment.
2 is a diagram schematically illustrating a configuration of a policy management system according to an embodiment.
3 is a diagram showing the configuration of an automated management device and an API broker device included in the policy management system.
4 is a diagram for explaining a configuration for selecting a policy application target firewall device according to an embodiment.
5 is a diagram for explaining a policy merging process of a policy optimization unit according to an embodiment.
6 is a diagram for explaining an additional configuration of an automated management apparatus according to an embodiment.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, some embodiments of the present invention will be described in detail with reference to exemplary drawings. In adding reference numerals to the components of each drawing, it should be noted that the same components are given the same reference numerals as much as possible even though they are indicated on different drawings. In addition, in describing the present invention, if it is determined that a detailed description of a related known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.

또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.In addition, in describing the components of the present invention, terms such as first, second, A, B, (a), (b), etc. may be used. These terms are only for distinguishing the components from other components, and the essence, order, or order of the components are not limited by the terms. When a component is described as being “connected”, “coupled” or “connected” to another component, the component may be directly connected or connected to the other component, but another component is between each component. It should be understood that elements may be “connected,” “coupled,” or “connected.”

도 1은 일 실시예에 따른 정책 관리를 위한 시스템들 간의 연결 관계를 간략하게 나타낸 도면이다.1 is a diagram schematically illustrating a connection relationship between systems for policy management according to an embodiment.

도 1을 참조하면, 다수의 방화벽 장치(300)에 적용하는 방화벽 정책들은 정책 신청 시스템(100)에서 신청할 수 있다. 여기서, 정책 신청 시스템(100)은 방화벽 장치의 접근 허용 및 통제에 대한 방화벽 정책들의 신청 권한이 부여된 다수의 사용자 단말기(미도시)를 포함할 수 있다.Referring to FIG. 1 , firewall policies applied to a plurality of firewall devices 300 may be applied by the policy application system 100 . Here, the policy application system 100 may include a plurality of user terminals (not shown) to which the right to apply for firewall policies for access permission and control of the firewall device is granted.

정책 신청 시스템(100)은 사용자 단말기(미도시)에서 신규로 입력한 방화벽 정책 정보인 신규 정책 정보를 검토 및 승인하는 관리자 단말기(미도시)를 더 포함할 수 있다.The policy application system 100 may further include a manager terminal (not shown) for reviewing and approving new policy information, which is firewall policy information newly input from the user terminal (not shown).

관리자 단말기(미도시)는 기업이나 조직의 내부 보안 승인 절차에 따라 하나 이상의 신규 정책 정보를 승인 또는 불승인할 수 있다. 여기서, 사용자 단말기(미도시)와 관리자 단말기(미도시)는 데스크탑 컴퓨터, 노트북, 태블릿 PC(Personal Computer) 등일 수 있다.The manager terminal (not shown) may approve or disapprove one or more new policy information according to an internal security approval procedure of a company or organization. Here, the user terminal (not shown) and the manager terminal (not shown) may be a desktop computer, a notebook computer, a tablet personal computer (PC), or the like.

일 실시예에서 하나 이상의 신규 정책 정보는 출발지 IP(Internet Protocol)와 목적지 IP가 동일할 수 있다. 그리고 하나 이상의 신규 정책 정보는 각각 상이한 목적지 포트 번호(예를 들어, TCP 포트 번호 또는 UDP 포트 번호 등), 접근을 통제할 하나 이상의 애플리케이션 정보, 하나 이상의 URL(Uniform Resource Locator) 정보, 정책 사용기한 등을 포함할 수 있다.In an embodiment, the one or more new policy information may have the same source IP (Internet Protocol) and destination IP address. In addition, the one or more new policy information may include different destination port numbers (eg, TCP port numbers or UDP port numbers, etc.), one or more application information to control access, one or more URL (Uniform Resource Locator) information, policy expiration date, etc. may include.

관리자 단말기(미도시)에서 하나 이상의 신규 정책 정보를 승인한 경우, 정책 신청 시스템(100)은 신규 정책 정보를 정책 관리 시스템(200)으로 전달할 수 있다.When the manager terminal (not shown) approves one or more new policy information, the policy application system 100 may transmit the new policy information to the policy management system 200 .

여기서, 정책 신청 시스템(100)은 정책 관리 시스템(200)과의 API(Application Programming Interface) 연동, EAI(Enterprise Application Integration) 연동을 통해서 신규 정책 정보를 정책 관리 시스템(200)으로 송신하거나, 파일 업로드 방식 등을 통해서 신규 정책 정보를 정책 관리 시스템(200)으로 송신할 수 있다.Here, the policy application system 100 transmits new policy information to the policy management system 200 or uploads a file through API (Application Programming Interface) interworking with the policy management system 200 and EAI (Enterprise Application Integration) interworking with the policy management system 200 . The new policy information may be transmitted to the policy management system 200 through a method or the like.

정책 관리 시스템(200)은 하나 이상의 신규 정책 정보에 대한 유효성 검증 작업, 정책을 적용할 방화벽 장치의 선정 작업, 적용 정책 정보와 신규 정책 정보 간의 최적화 작업 및 신규 정책 정보를 방화벽에 적용(업데이트)할 시각 설정 작업 등을 자동화할 수 있다. 이러한 정책 관리 시스템(200)은 도 2와 같이 자동화 관리 장치(210) 및 API 브로커 장치(220)를 포함할 수 있다.The policy management system 200 performs a validation operation for one or more new policy information, a selection operation of a firewall device to which a policy is to be applied, an optimization operation between the applied policy information and the new policy information, and applying (updating) the new policy information to the firewall. Time setting tasks can be automated. The policy management system 200 may include an automation management device 210 and an API broker device 220 as shown in FIG. 2 .

다수의 방화벽 장치(300)는 기업이나 조직의 내부 네트워크에 설치될 수 있다.A plurality of firewall devices 300 may be installed in an internal network of a company or organization.

다수의 방화벽 장치(300)는 다양한 제조사의 모델별로 구분될 수 있으며, 모델별로 다른 운영체제와 API를 통해 구동될 수 있다.A plurality of firewall devices 300 may be classified by models of various manufacturers, and may be driven through different operating systems and APIs for each model.

위와 같은 다수의 방화벽 장치(300)는 정책 관리 시스템(200)에서 전달한 방화벽 정책 정보들을 통하여 패킷의 허용 또는 차단 결정을 내려서 허락되지 않은 외부 침입으로부터 내부 네트워크 시스템을 보호할 수 있다.The plurality of firewall devices 300 as described above can protect the internal network system from unauthorized external intrusions by making a decision to allow or block packets through the firewall policy information transmitted from the policy management system 200 .

일 실시예에서 다수의 방화벽 장치(300)에 포함된 방화벽 장치들에 적용중인 방화벽 정책 정보들, 즉 다수의 적용 정책 정보는 후술할 방화벽 정책 DB(DataBase, 217)에 저장될 수 있다.In an embodiment, firewall policy information being applied to the firewall devices included in the plurality of firewall devices 300 , that is, a plurality of applied policy information may be stored in a firewall policy DB (DataBase, 217 ), which will be described later.

이하에서는 정책 관리 시스템(200)의 구성에 대해 자세히 설명하도록 한다.Hereinafter, the configuration of the policy management system 200 will be described in detail.

도 2는 일 실시예에 따른 정책 관리 시스템의 구성을 간략하게 나타낸 도면이다.2 is a diagram schematically illustrating the configuration of a policy management system according to an embodiment.

그리고 도 3은 정책 관리 시스템에 포함된 자동화 관리 장치 및 API 브로커 장치의 구성을 나타낸 도면이다.And Figure 3 is a diagram showing the configuration of the automation management device and the API broker device included in the policy management system.

도 2를 참조하면, 정책 관리 시스템(200)은 자동화 관리 장치(210) 및 API 브로커 장치(220)를 포함할 수 있다. 여기서, API 브로커 장치(220)는 방화벽 제어 장치로 호칭될 수도 있다.Referring to FIG. 2 , the policy management system 200 may include an automated management device 210 and an API broker device 220 . Here, the API broker device 220 may be referred to as a firewall control device.

자동화 관리 장치(210)는 도 3과 같이 유효성 검증부(212), 적용 대상 선정부(214), 정책 최적화부(216) 및 자동화 스케줄러(218)를 포함할 수 있다. 그리고, 자동화 관리 장치(210)는 유효성 검증 DB(DataBase, 213), 네트워크 토폴로지 DB(215), 방화벽 정책 DB(217) 및 적용 시간 DB(219)를 더 포함할 수 있다.The automation management device 210 may include a validity verification unit 212 , an application target selection unit 214 , a policy optimization unit 216 , and an automation scheduler 218 as shown in FIG. 3 . In addition, the automated management device 210 may further include a validation DB (DataBase, 213 ), a network topology DB 215 , a firewall policy DB 217 , and an application time DB 219 .

유효성 검증부(212)는 정책 신청 시스템(100)으로부터 전달된 하나 이상의 신규 정책 정보에 대한 유효성을 검증한다. 여기서, 유효성 검증부(212)는 유효성 검증 DB(213)에 저장된 유효성 검증 조건을 이용하여 하나 이상의 신규 정책 정보에 대한 유효성을 검증할 수 있다.The validation unit 212 verifies the validity of one or more new policy information transmitted from the policy application system 100 . Here, the validation unit 212 may verify the validity of one or more new policy information by using the validation conditions stored in the validation DB 213 .

일 실시예에서 유효성 검증 조건은 방화벽 장치에 대한 적용 불가 조건, 적용 가능 조건 등을 포함할 수 있다.In an embodiment, the validation condition may include a non-applicable condition for the firewall device, an applicable condition, and the like.

예를 들어, 유효성 검증 조건은 표 1과 같은 조건들을 포함할 수 있다.For example, the validation condition may include the conditions shown in Table 1.

순번turn 출발지 IPsource IP 목적지 IPdestination IP 프로토콜protocol 동작movement 설명Explanation 1One ANYANY 14.3.5.21014.3.5.210 UDPUDP 불가impossible UDP 포트 정책 적용 불가UDP port policy not applicable 22 32.4.6.14532.4.6.145 4.6.8.3684.6.8.368 TCPTCP 허용permit TCP 포트 정책 적용 가능TCP port policy applicable 33 30.0.0.130.0.0.1 130.0.0.100130.0.0.100 UDPUDP 허용permit UDP 포트 정책 적용 가능UDP port policy applicable 44 45.3.8.23145.3.8.231 110.0.0.100110.0.0.100 TCPTCP 불가impossible TCP 포트 정책 적용 불가TCP port policy not applicable 55 40.0.0.140.0.0.1 100.0.0.100100.0.0.100 TCPTCP 허용permit TCP 포트 정책 적용 가능TCP port policy applicable

표 1에서 조건 3을 참조하면, 출발지 IP가 30.0.0.1이고, 목적지 IP가 130.0.0.100인 UDP(User Datagram Protocol) 프로토콜 관련 정책은 적용이 가능하다. 따라서, 정책 신청 시스템(100)으로부터 전달된 신규 정책 정보의 출발지 IP가 30.0.0.1이고, 목적지 IP가 130.0.0.100이며, 통신 프로토콜이 UDP 프로토콜이면, 유효성 검증부(212)는 표 1과 같은 유효성 검증 조건에 따라 신규 정책 정보가 유효하다고 결정하고, 신규 정책 정보를 적용 대상 선정부(214)에 전달할 수 있다.Referring to Condition 3 in Table 1, a User Datagram Protocol (UDP) protocol-related policy with a source IP of 30.0.0.1 and a destination IP of 130.0.0.100 can be applied. Accordingly, if the source IP of the new policy information transmitted from the policy application system 100 is 30.0.0.1, the destination IP is 130.0.0.100, and the communication protocol is the UDP protocol, the validity verification unit 212 provides the validity as shown in Table 1 It may be determined that the new policy information is valid according to the verification condition, and the new policy information may be transmitted to the application target selection unit 214 .

한편, 신규 정책 정보의 출발지 IP가 45.3.8.231이고, 목적지 IP가 110.0.0.100이며, 통신 프로토콜이 TCP(Transmission Control Protocol)이면, 유효성 검증부(212)는 유효성 검증 조건에 따라 신규 정책 정보가 유효하지 않다고 결정할 수 있다. 이러한 경우, 유효성 검증부(212)는 신규 정책 정보에 대한 반려 정보를 정책 신청 시스템(100)에 전달하고, 신규 정책 정보의 적용을 위한 후속 과정을 미수행할 수 있다.On the other hand, if the source IP of the new policy information is 45.3.8.231, the destination IP is 110.0.0.100, and the communication protocol is TCP (Transmission Control Protocol), the validation unit 212 determines that the new policy information is valid according to the validation conditions. You can decide not to. In this case, the validity verification unit 212 may transmit the rejection information for the new policy information to the policy application system 100 and may not perform a subsequent process for applying the new policy information.

적용 대상 선정부(214)는 유효성이 검증된 하나 이상의 신규 정책 정보의 출발지 IP에서 목적지 IP까지의 경로 상에 존재하는 모든 방화벽 장치들을 탐색하고, 탐색한 방화벽 장치들을 하나 이상의 신규 정책 정보를 적용할 방화벽 장치인 적용 대상 장치로 선정한다. 여기서, 적용 대상 선정부(214)는 네트워크 토폴로지 DB(215)에 저장된 내부 네트워크의 토폴로지 정보를 이용하여 방화벽 장치들을 탐색 및 적용 대상 장치로 선정할 수 있다.The application target selection unit 214 searches for all firewall devices existing on the path from the source IP to the destination IP of one or more new policy information whose validity has been verified, and applies one or more new policy information to the discovered firewall devices. It is selected as the application target device, which is a firewall device. Here, the application target selection unit 214 may search for firewall devices and select the application target devices by using the internal network topology information stored in the network topology DB 215 .

여기서, 토폴로지 정보는 다수의 방화벽 장치(300) 각각에 대한 정보인 방화벽 장치 정보를 포함할 수 있고, 각각의 방화벽 장치 정보는 방화벽 명칭, 방화벽 유형, 라우팅 정보, 영역(Zone) 정보 등을 포함할 수 있다.Here, the topology information may include firewall device information that is information about each of the plurality of firewall devices 300 , and each firewall device information may include a firewall name, a firewall type, routing information, zone information, and the like. can

예를 들어, 하나 이상의 신규 정책 정보에 각각 포함된 출발지 IP가 "10.0.0.100", 목적지 IP가 "30.0.0.5"이고, 네트워크 토폴로지 DB(215)의 토폴로지 정보가 아래의 표 2와 같을 경우, 적용 대상 선정부(214)는 네트워크 토폴로지 DB(215)에서 방화벽 유형이 종단(edge)인 방화벽 장치 중에서 라우팅 정보가 출발지 IP "10.0.0.100"를 포함하는 종단(edge) 방화벽 장치인 방화벽A를 탐색할 수 있다. 여기서, 출발지 IP는 방화벽A의 in zone에 포함될 수 있고, 방화벽A의 in zone으로는 패킷이 입력될 수 있다.For example, when the source IP included in the one or more new policy information is "10.0.0.100" and the destination IP is "30.0.0.5", and the topology information of the network topology DB 215 is as shown in Table 2 below, The application target selection unit 214 searches for firewall A, which is an edge firewall device, whose routing information includes the source IP “10.0.0.100”, among firewall devices whose firewall type is edge in the network topology DB 215 . can do. Here, the source IP may be included in the in zone of the firewall A, and a packet may be input into the in zone of the firewall A.

방화벽명firewall name 방화벽 유형Firewall type Zone 정보Zone information 라우팅 정보routing information 방화벽AFirewall A edgeedge inin 10.0.0.0/2410.0.0.0/24 방화벽AFirewall A edgeedge outout defaultdefault 방화벽Bfirewall B edgeedge dmzdmz 20.0.0.0/2420.0.0.0/24 방화벽Bfirewall B edgeedge inin 10.0.0.0/810.0.0.0/8 방화벽Bfirewall B edgeedge outout defaultdefault 방화벽Cfirewall C edgeedge inin 30.0.0.0/2430.0.0.0/24 방화벽Cfirewall C edgeedge outout defaultdefault 방화벽Dfirewall D edgeedge inin 40.0.0.0/2440.0.0.0/24 방화벽Dfirewall D edgeedge outout defaultdefault 방화벽Vfirewall V viavia inin 10.0.0.0/2410.0.0.0/24 방화벽Vfirewall V viavia outout 20.0.0.0/24
30.0.0.0/24
40.0.0.0/24
default20.0.0.0/24
30.0.0.0/24
40.0.0.0/24
default

위와 같이 출발지 IP에 대한 종단 방화벽 장치를 탐색한 적용 대상 선정부(214)는 방화벽 유형이 종단(edge)인 방화벽 장치 중에서 라우팅 정보가 목적지 IP "30.0.0.5"를 포함하는 종단(edge) 방화벽 장치인 방화벽C를 탐색할 수 있다. 여기서, 목적지 IP는 방화벽C의 in zone에 포함될 수 있고, 방화벽C의 in zone으로는 패킷이 출력될 수 있다.The application target selection unit 214, which has searched for the end firewall device for the source IP as described above, is an edge firewall device whose routing information includes the destination IP “30.0.0.5” among firewall devices whose firewall type is edge. You can explore Firewall C. Here, the destination IP may be included in the in zone of the firewall C, and the packet may be output in the in zone of the firewall C.

적용 대상 선정부(214)는 방화벽C의 또 다른 라우팅 정보와 영역(zone) 정보를 확인하고, 또 다른 라우팅 정보와 영역(zone) 정보가 출발지 IP를 포함하는 지를 확인한다.The application target selection unit 214 checks another routing information and zone information of the firewall C, and checks whether another routing information and zone information includes a source IP.

표 2에서 출발지 IP는 방화벽C의 out zone에 포함될 수 있고, 방화벽C의 out zone으로는 패킷이 입력될 수 있기 때문에 적용 대상 선정부(214)는 방화벽C를 목적지 IP에 대한 종단 방화벽 장치로 선정한다. 여기서, 종단 방화벽 장치는 출발지 IP와 목적지 IP에 대한 직접적인 접근 통제를 수행하는 방화벽 장치일 수 있다.In Table 2, the source IP can be included in the out zone of the firewall C, and packets can be input into the out zone of the firewall C, so the application target selection unit 214 selects the firewall C as the end firewall device for the destination IP. do. Here, the end firewall device may be a firewall device that directly controls access to the source IP and the destination IP.

위와 같이 출발지 IP와 목적지 IP에 대한 종단 방화벽 장치를 선정한 후, 적용 대상 선정부(214)는 네트워크 토폴로지 DB(215)에서 방화벽 유형이 경유(via)인 방화벽 장치들을 선별할 수 있고, 선별한 장치들 중에서 출발지 IP와 목적지 IP를 모두 포함하는 방화벽V를 탐색 및 경유지 방화벽 장치로 선정할 수 있다.After selecting the end firewall devices for the source IP and the destination IP as described above, the application target selection unit 214 may select firewall devices whose firewall type is via from the network topology DB 215, and the selected device Among them, the firewall V including both the source IP and the destination IP can be selected as the search and transit firewall device.

위와 같은 과정을 통해 적용 대상 선정부(214)는 도 4와 같은 내부 네트워크 중에서 출발지 IP에서 목적지 IP까지의 경로(점선 표시 부분) 상에 포함된 방화벽 장치들(방화벽A, 방화벽V, 방화벽C)을 탐색 및 적용 대상 장치로 선정할 수 있다.Through the above process, the application target selection unit 214 performs firewall devices (firewall A, firewall V, and firewall C) included in the path from the source IP to the destination IP in the internal network as shown in FIG. can be selected as a target device for discovery and application.

한편, 일 실시예에서 네트워크 토폴로지 DB(215)의 토폴로지 정보는 표 3과 같이 다수의 방화벽 장치(300) 중에서 관리의 자동화가 불가능한 방화벽 장치를 식별하기 위한 더미 식별 정보(표 3의 "dummy")를 더 포함할 수 있다.Meanwhile, in an embodiment, the topology information of the network topology DB 215 is dummy identification information (“dummy” in Table 3) for identifying a firewall device in which management cannot be automated among a plurality of firewall devices 300 as shown in Table 3 may further include.

방화벽명firewall name 방화벽 유형Firewall type Zone 정보Zone information 라우팅 정보routing information 기타etc 방화벽AFirewall A edgeedge inin 10.0.0.0/2410.0.0.0/24 방화벽AFirewall A edgeedge outout defaultdefault 방화벽Bfirewall B edgeedge dmzdmz 20.0.0.0/2420.0.0.0/24 방화벽Bfirewall B edgeedge inin 10.0.0.0/810.0.0.0/8 방화벽Bfirewall B edgeedge outout defaultdefault 방화벽Cfirewall C edgeedge inin 30.0.0.0/2430.0.0.0/24 dummydummy 방화벽Cfirewall C edgeedge outout defaultdefault dummydummy 방화벽Dfirewall D edgeedge inin 40.0.0.0/2440.0.0.0/24 방화벽Dfirewall D edgeedge outout defaultdefault 방화벽Vfirewall V viavia inin 10.0.0.0/2410.0.0.0/24 방화벽Vfirewall V viavia outout 20.0.0.0/24
30.0.0.0/24
40.0.0.0/24
default20.0.0.0/24
30.0.0.0/24
40.0.0.0/24
default

적용 대상 장치(방화벽A, 방화벽V, 방화벽C) 중에서 방화벽C에 더미 식별 정보가 포함된 경우, 적용 대상 선정부(214)는 정책 관리 시스템(200)을 관리하는 관리자의 단말기인 관리자 단말기(미도시)로 방화벽C의 토폴로지 정보를 전달할 수 있다. 이를 통해 관리자는 관리자 단말기(미도시)를 사용하여 신규 정책 정보를 방화벽C에 수동으로 입력할 수 있다.When dummy identification information is included in the firewall C among the application target devices (firewall A, firewall V, and firewall C), the application target selection unit 214 is a manager terminal (not shown) that is a terminal of an administrator who manages the policy management system 200 . time) to deliver the topology information of Firewall C. Through this, the administrator can manually input new policy information into the firewall C using an administrator terminal (not shown).

정책 최적화부(216)는 유효성 검증부(212)에서 유효성이 검증된 하나 이상의 신규 정책 정보와 적용 대상 장치에 적용중인 하나 이상의 기적용 정책 정보를 병합한다. 여기서, 기적용 정책 정보는 적용 대상 장치에 적용중인 방화벽 정책 정보를 의미한다.The policy optimization unit 216 merges one or more new policy information validated by the validity verification unit 212 and one or more new policy information being applied to the application target device. Here, the policy information for miracle means firewall policy information being applied to the application target device.

일 실시예에서 하나 이상의 신규 정책 정보와 기적용 정책 정보를 병합할 때에 정책 최적화부(216)는 하나 이상의 기적용 정책 정보와 하나 이상의 신규 정책 정보를 비교할 수 있다.In one embodiment, when merging one or more new policy information and new policy information, the policy optimization unit 216 may compare one or more new policy information and one or more new policy information.

이를 통해 정책 최적화부(216)는 하나 이상의 신규 정책 정보 중에서 기적용 정책 정보와 중복돼서 중복된 기적용 정책 정보의 사용 기한만을 갱신하는 갱신 정책 정보 및 기적용 정책 정보와 미중복돼서 신규 정책 정보에 대한 목적지 포트와 사용 기한을 새로이 추가하는 추가 정책 정보를 선별할 수 있다.Through this, the policy optimization unit 216 overlaps with the policy information for the miracle use among one or more new policy information, and the policy information for the update policy information that is overlapped with the policy information for the miracle use is not overlapped with the policy information for the update policy information. You can select additional policy information that adds a new destination port and expiration date for each port.

그리고 정책 최적화부(216)는 하나 이상의 신규 정책 정보 중에서 갱신 정책 정보 및 추가 정책 정보만을 자동화 스케줄러(218)로 전달할 수 있다.In addition, the policy optimizer 216 may transmit only the updated policy information and the additional policy information among the one or more new policy information to the automated scheduler 218 .

구체적으로, 정책 최적화부(216)는 다수의 방화벽 장치(300)에 적용중인 정책 정보들을 저장하는 방화벽 정책 DB(217)에서 적용 대상 장치에 적용중인 하나 이상의 기적용 정책 정보를 확인할 수 있다. 여기서, 하나 이상의 기적용 정책 정보에 포함된 출발지 IP 및 목적지 IP와 하나 이상의 신규 정책 정보에 포함된 출발지 IP 및 목적지 IP는 대응될 수 있다.Specifically, the policy optimization unit 216 may check one or more miraculous policy information being applied to the application target device from the firewall policy DB 217 that stores the policy information applied to the plurality of firewall devices 300 . Here, the source IP and destination IP included in the one or more new policy information and the source IP and destination IP included in the one or more new policy information may correspond.

정책 최적화부(216)는 하나 이상의 기적용 정책 정보와 하나 이상의 신규 정책 정보를 비교하여 하나 이상의 신규 정책 정보 중에서 기적용 정책 정보와 중복되는 정책 정보가 있는 지를 확인한다. 여기서, 정책 최적화부(216)는 기적용 정책 정보와 목적지 포트가 동일하고, 사용 기한은 기적용 정책 정보보다 짧은 신규 정책 정보를 기적용 정책 정보와 중복되는 중복 정책 정보로 선별할 수 있다.The policy optimization unit 216 compares one or more new policy information with one or more new policy information, and confirms whether there is policy information that overlaps with one or more new policy information among the one or more new policy information. Here, the policy optimization unit 216 may select new policy information that has the same policy information and destination port for use, and has a shorter usage period than policy information for use, as duplicate policy information that overlaps with the policy information for miracle use.

예를 들어, 정책 최적화부(216)는 도 5와 같은 하나 이상의 신규 정책 정보(520) 중에서 음영 표시된 신규4의 목적지 포트가 기적용 정책 정보인 정책4의 목적지 포트와 동일하고, 신규4의 사용 기한이 정책4의 사용 기한보다 짧은 것을 확인할 수 있다. 이를 통해, 정책 최적화부(216)는 신규4를 중복 정책 정보로 선별할 수 있다.For example, in the policy optimization unit 216, the shaded destination port of new 4 among the one or more new policy information 520 as shown in FIG. It can be seen that the expiration date is shorter than the expiration date of Policy 4. Through this, the policy optimization unit 216 may select the new 4 as duplicate policy information.

정책 최적화부(216)는 하나 이상의 기적용 정책 정보와 하나 이상의 신규 정책 정보를 비교하여 하나 이상의 신규 정책 정보 중에서 갱신 정책 정보가 있는 지를 확인한다. 여기서, 정책 최적화부(216)는 기적용 정책 정보와 목적지 포트가 동일하고, 사용 기한은 기적용 정책 정보보다 긴 신규 정책 정보를 기적용 정책 정보의 사용 기한만을 갱신하는 갱신 정책 정보로 선별할 수 있다.The policy optimization unit 216 compares one or more new policy information with one or more new policy information to confirm whether there is updated policy information among one or more new policy information. Here, the policy optimization unit 216 may select new policy information that has the same policy information and destination port for use, and whose expiration date is longer than the policy information for miracle use, as update policy information that only updates the expiration date of the policy information for miracle use. have.

예를 들어, 정책 최적화부(216)는 도 5에서 신규 정책 정보인 신규1이 기적용 정책 정보인 정책3과 목적지 포트가 동일하고 사용 기한은 정책3보다 긴 것을 확인할 수 있다. 이를 통해, 정책 최적화부(216)는 신규1을 갱신 정책 정보로 선별할 수 있다.For example, in FIG. 5 , the policy optimization unit 216 may confirm that the new 1, the new policy information, has the same destination port as the new 1, which is the new policy information, and the use period is longer than the policy 3 in FIG. 5 . Through this, the policy optimization unit 216 may select the new 1 as the update policy information.

마찬가지로 정책 최적화부(216)는 도 5에서 신규 정책 정보인 신규3이 기적용 정책 정보인 정책2와 목적지 포트가 동일하고 사용 기한은 정책2보다 긴 것을 확인할 수 있다. 이를 통해, 정책 최적화부(216)는 신규3을 갱신 정책 정보로 선별할 수 있다.Similarly, in FIG. 5 , the policy optimization unit 216 may confirm that the new 3, new policy information, has the same destination port as the new 3, which is the new policy information, and has a longer usage period than the policy 2 in FIG. 5 . Through this, the policy optimization unit 216 may select the new 3 as the update policy information.

정책 최적화부(216)는 하나 이상의 기적용 정책 정보와 하나 이상의 신규 정책 정보를 비교하여 하나 이상의 신규 정책 정보 중에서 추가 정책 정보가 있는 지를 확인한다. 여기서, 정책 최적화부(216)는 하나 이상의 기적용 정책 정보와 목적지 포트가 상이한 신규 정책 정보를 추가 정책 정보로 선별할 수 있다.The policy optimization unit 216 compares one or more new policy information with one or more new policy information to confirm whether there is additional policy information among one or more new policy information. Here, the policy optimization unit 216 may select one or more new policy information having a different destination port from the policy information for use as additional policy information.

예를 들어, 정책 최적화부(216)는 도 5에서 신규 정책 정보인 신규2의 목적지 포트가 하나 이상의 기적용 정책 정보의 목적지 포트가 상이한 것을 확인할 수 있다. 이를 통해, 정책 최적화부(216)는 신규2를 추가 정책 정보로 선별할 수 있다.For example, the policy optimization unit 216 may confirm that the destination port of new 2, which is the new policy information in FIG. 5, is different from the destination port of one or more new policy information for use. Through this, the policy optimization unit 216 may select the new 2 as additional policy information.

위와 같이 하나 이상의 신규 정책 정보 중에서 중복 정책 정보, 갱신 정책 정보와 추가 정책 정보 중 하나 이상을 선별한 정책 최적화부(216)는 병합한 정책 정보(530) 중에서 갱신 정책 정보와 추가 정책 정보만을 자동화 스케줄러(218)로 전달할 수 있다.As described above, the policy optimization unit 216 that selects at least one of the duplicate policy information, the update policy information, and the additional policy information from among the one or more new policy information is an automated scheduler with only the update policy information and the additional policy information among the merged policy information 530 . (218).

자동화 스케줄러(218)는 적용 대상 장치별로 기설정된 정책 적용 시각(時刻) 정보를 적용 시각 DB(219)에서 확인한다. 여기서, 적용 시각 DB(219)는 다수의 방화벽 장치(300) 각각에 대한 정책 적용 시각 정보를 저장할 수 있다. The automation scheduler 218 checks information on a policy application time preset for each application target device in the application time DB 219 . Here, the application time DB 219 may store policy application time information for each of the plurality of firewall devices 300 .

그리고 일 적용 대상 장치의 정책 적용 시각이 도래하면, 자동화 스케줄러(218)는 일 적용 대상 장치의 방화벽 장치 정보를 포함하고, 갱신 정책 정보 및 추가 정책 정보 중 하나 이상을 포함한 정책 적용 요청 메시지를 후술할 API 브로커 장치(220)에 전달한다. 여기서, 자동화 스케줄러(218)는 표준화된 형식으로 정책 적용 요청 메시지를 생성 및 API 브로커 장치(220)에 전달할 수 있다.And when the policy application time of the one application target device arrives, the automation scheduler 218 includes the firewall device information of the one application target device, and a policy application request message including one or more of update policy information and additional policy information will be described later. It passes to the API broker device 220 . Here, the automated scheduler 218 may generate a policy application request message in a standardized format and deliver it to the API broker device 220 .

방화벽 정책을 관리하기 위한 장치인 방화벽 제어 장치 즉, API 브로커 장치(220)는 표준화된 형식으로 생성된 정책 적용 요청 메시지를 자동화 관리 장치(210)의 자동화 스케줄러(218)로부터 전달받을 수 있다.The firewall control device, that is, the API broker device 220 , which is a device for managing the firewall policy, may receive the policy application request message generated in a standardized format from the automation scheduler 218 of the automation management device 210 .

이후, API 브로커 장치(220)는 정책 적용 요청 메시지에 포함된 방화벽 장치 정보를 확인하고, 방화벽 장치 정보에 해당하는 특정 API 구문 정보를 사용하여 정책 적용 요청 메시지를 변환할 수 있다. 다시 말해서, API 브로커 장치(220)는 표준화된 형식으로 생성된 정책 적용 요청 메시지를 특정 API 형식으로 변환할 수 있다.Thereafter, the API broker device 220 may check the firewall device information included in the policy application request message, and convert the policy application request message using specific API syntax information corresponding to the firewall device information. In other words, the API broker device 220 may convert the policy application request message generated in a standardized format into a specific API format.

API 브로커 장치(220)는 특정 API 구문 정보를 통해 변환한 정책 적용 요청 메시지인 변환 메시지를 일 적용 대상 장치로 전달할 수 있다. 여기서, API 브로커 장치(220)는 변환 메시지를 일 적용 대상 장치의 통신 프로토콜을 이용하여 전달할 수 있다.The API broker device 220 may deliver a conversion message that is a policy application request message converted through specific API syntax information to an application target device. Here, the API broker device 220 may transmit the conversion message using a communication protocol of an application target device.

여기서, API 브로커 장치(220)는 정책 적용 요청 메시지를 특정 API 구문 정보를 통해 변환하기 전에 정책 적용 요청 메시지의 데이터량을 확인하고, 방화벽 장치 정보에 해당하는 일 적용 대상 장치에 대한 단위 시간당 데이터 전송 허용량을 확인할 수 있다.Here, the API broker device 220 checks the data amount of the policy application request message before converting the policy application request message through specific API syntax information, and transmits data per unit time to the one application target device corresponding to the firewall device information Allowable amount can be checked.

변환 메시지의 데이터량이 단위 시간당 데이터 전송 허용량을 초과하지 않는 경우, API 브로커 장치(220)는 정책 적용 요청 메시지를 변환 메시지로 변환하고, 일반적인 전송 방식을 통해 변환 메시지를 일 적용 대상 장치에 전달할 수 있다.When the data amount of the conversion message does not exceed the allowable amount of data transmission per unit time, the API broker device 220 converts the policy application request message into a conversion message, and transmits the conversion message to one application target device through a general transmission method. .

정책 적용 메시지의 데이터량이 단위 시간당 데이터 전송 허용량을 초과하되 초과량이 일정 기준 미만일 경우, API 브로커 장치(220)는 정책 적용 요청 메시지를 변환 메시지로 변환하고, 일 적용 대상 장치에 미치는 영향을 최소화할 수 있는 큐 처리 방식을 통해 변환 메시지를 일 적용 대상 장치에 전달할 수 있다. 여기서, 큐 처리 방식은 FIFO(First In First Out) 방식, PQ(Priority Queuing) 방식, FQ(Fair Queuing) 방식, WFQ(Weighted Fair Queuing) 방식 등일 수 있다.If the data amount of the policy application message exceeds the allowable amount of data transmission per unit time, but the excess is less than a certain standard, the API broker device 220 converts the policy application request message into a conversion message, and minimizes the impact on the one application target device. A conversion message can be delivered to an applied target device through an existing queue processing method. Here, the queue processing method may be a First In First Out (FIFO) method, a Priority Queuing (PQ) method, a Fair Queuing (FQ) method, a Weighted Fair Queuing (WFQ) method, or the like.

정책 적용 요청 메시지의 데이터량이 단위 시간당 데이터 전송 허용량을 초과하되 초과량이 일정 기준 이상일 경우, API 브로커 장치(220)는 정책 적용 요청 메시지를 드롭할 수 있다. 이를 통해 일 적용 대상 장치의 방화벽 기능이 안정적으로 동작할 수 있다.When the data amount of the policy application request message exceeds the allowable data transmission per unit time, but the excess amount is greater than or equal to a certain standard, the API broker device 220 may drop the policy application request message. Through this, the firewall function of one application target device may operate stably.

위와 같은 API 브로커 장치(220)는 Qos(Quality Of Service) 제어부(222), API 변환부(224) 및 방화벽 모델별 통신부(226)를 포함할 수 있다. 그리고 API 브로커 장치(220)는 다수의 방화벽 장치(300) 각각에 대한 Qos 정보를 저장한 Qos 정보 DB(223) 및 다수의 방화벽 장치(300)에 대한 방화벽 모델별 API 구문 정보를 저장한 API 정보 DB(225)를 더 포함할 수 있다.The above API broker device 220 may include a Quality Of Service (Qos) control unit 222 , an API conversion unit 224 , and a communication unit 226 for each firewall model. And the API broker device 220 stores the Qos information DB 223 that stores Qos information for each of the plurality of firewall devices 300 and API information that stores API syntax information for each firewall model for the plurality of firewall devices 300 . It may further include a DB (225).

Qos 제어부(222)는 자동화 관리 장치(210)로부터 전달받은 정책 적용 요청 메시지의 데이터량을 확인하고, 정책 적용 요청 메시지에 포함된 방화벽 장치 정보를 확인할 수 있다.The Qos control unit 222 may check the data amount of the policy application request message delivered from the automation management device 210 , and check firewall device information included in the policy application request message.

그리고 Qos 제어부(222)는 Qos 정보 DB(223)에서 방화벽 장치 정보에 해당하는 일 적용 대상 장치의 단위 시간당 데이터 전송 허용량을 확인할 수 있다. 여기서, 단위 시간당 데이터 전송 허용량은 일 적용 대상 장치의 Qos 정보에 포함될 수 있다.In addition, the Qos control unit 222 may check the allowable amount of data transmission per unit time of the target device corresponding to the firewall device information in the Qos information DB 223 . Here, the allowable amount of data transmission per unit time may be included in the Qos information of one application target device.

정책 적용 요청 메시지의 데이터량이 단위 시간당 데이터 전송 허용량을 초과하지 않는 경우, Qos 제어부(222)는 정책 적용 요청 메시지를 API 변환부(224)에 일괄적으로 전달할 수 있다.When the data amount of the policy application request message does not exceed the allowable amount of data transmission per unit time, the Qos control unit 222 may collectively deliver the policy application request message to the API conversion unit 224 .

정책 적용 요청 메시지의 데이터량이 단위 시간당 데이터 전송 허용량을 초과하되 초과량이 일정 기준 미만일 경우, Qos 제어부(222)는 큐 처리 방식을 통해 정책 적용 요청 메시지를 API 변환부(224)에 분할해서 전달할 수 있다.When the data amount of the policy application request message exceeds the allowable amount of data transmission per unit time, but the excess is less than a certain standard, the Qos control unit 222 divides the policy application request message to the API conversion unit 224 through a queue processing method and delivers it. .

API 변환부(224)는 정책 적용 요청 메시지에 포함된 방화벽 장치 정보를 확인할 수 있다. 그리고 API 변환부(224)는 API 정보 DB(225)에서 방화벽 장치 정보에 해당하는 특정 API 구문 정보를 추출할 수 있다.The API conversion unit 224 may check firewall device information included in the policy application request message. In addition, the API conversion unit 224 may extract specific API syntax information corresponding to the firewall device information from the API information DB 225 .

그리고 API 변환부(224)는 특정 API 구문 정보를 사용하여 정책 적용 요청 메시지를 변환할 수 있다. 여기서, Qos 제어부(222)가 정책 적용 요청 메시지를 일괄적으로 전달한 경우, API 변환부(224)는 정책 적용 요청 메시지를 일괄적으로 변환할 수 있다.In addition, the API conversion unit 224 may convert the policy application request message using specific API syntax information. Here, when the Qos control unit 222 collectively transmits the policy application request message, the API conversion unit 224 may collectively convert the policy application request message.

Qos 제어부(222)가 정책 적용 요청 메시지를 큐 처리 방식으로 전달한 경우, API 변환부(224)는 정책 적용 요청 메시지를 분할해서 변환할 수 있다.When the Qos control unit 222 transmits the policy application request message in a queue processing method, the API conversion unit 224 may divide and convert the policy application request message.

API 변환부(224)는 방화벽 모델별 통신부(226)에 포함된 다수의 모델별 통신 모듈 중에서 방화벽 장치 정보에 해당하는 통신 프로토콜이 적용된 특정 통신 모듈을 통해 일 적용 대상 장치로 변환 메시지를 일괄 또는 분할해서 전달할 수 있다.The API conversion unit 224 batches or divides the conversion message into one application target device through a specific communication module to which a communication protocol corresponding to firewall device information is applied among a plurality of model-specific communication modules included in the communication unit 226 for each firewall model. so you can pass it on.

예를 들어, 도 3에서 방화벽 장치 정보에 해당하는 특정 통신 모듈이 A 통신 모듈이고, 다수의 방화벽 장치(300)인 방화벽1 내지 방화벽N 중에서 방화벽2(310)가 일 적용 대상 장치인 경우, API 변환부(224)는 변환 메시지를 A통신 모듈을 통해 일 적용 대상 장치인 방화벽2(310)에 전달할 수 있다.For example, in FIG. 3 , when a specific communication module corresponding to the firewall device information is a communication module A, and a firewall 2 310 among a plurality of firewall devices 300 , Firewall1 to FirewallN, is one application target device, API The conversion unit 224 may transmit the conversion message to the firewall 2 310, which is an application target device, through the A communication module.

이를 통해 방화벽2(310)는 특정 API 구문으로 변환된 갱신 정책 정보 및 추가 정책 정보 중 하나 이상을 기적용된 정책 정보들에 반영할 수 있다.Through this, the firewall 2 310 may reflect one or more of the updated policy information and the additional policy information converted into a specific API syntax to the previously applied policy information.

방화벽 모델별 통신부(226)는 다수의 방화벽 모델별로 상이한 통신 프로토콜이 적용된 다수의 모델별 통신 모듈을 포함할 수 있다. 예를 들어, A 통신 모듈은 HTTP(Hypertext Transfer Protocol) 프로토콜이 적용되고, B 통신 모듈은 SSH(Secure Shell) 프로토콜이 적용되며, C 통신 모듈은 FTP(File Transfer Protocol)이 적용될 수 있다.The firewall model-specific communication unit 226 may include a plurality of model-specific communication modules to which different communication protocols are applied for a plurality of firewall models. For example, HTTP (Hypertext Transfer Protocol) protocol may be applied to communication module A, Secure Shell (SSH) protocol may be applied to communication module B, and File Transfer Protocol (FTP) may be applied to communication module C.

이상에서 설명한 바와 같이 일 실시예에서는 정책 관리 시스템(200)에서 하나 이상의 신규 정책 정보에 대한 유효성 검증, 적용 대상 장치 선정, 기적용 정책 정보와의 병합, 정책 적용에 대한 스케줄 관리를 자동적으로 수행할 수 있고, 신규 정책 정보를 적용 대상 장치에 적합한 API 구문으로 변환할 수 있기 때문에 방화벽 정책의 신규 적용을 위한 인력 소모가 최소화될 수 있다.As described above, in one embodiment, the policy management system 200 automatically performs schedule management for validation of one or more new policy information, selection of an application target device, merging with policy information for use, and policy application. Since the new policy information can be converted into an API syntax suitable for the application target device, manpower consumption for new application of the firewall policy can be minimized.

한편, 일 실시예에서 자동화 관리 장치(210)는 방화벽 정책들의 신규 적용에 대한 자동화 이외에 다수의 방화벽 장치(300)에 적용중인 방화벽 정책들에 대한 수명을 관리할 수 있다.Meanwhile, in an embodiment, the automation management device 210 may manage the lifespan of firewall policies applied to a plurality of firewall devices 300 in addition to automation of new application of firewall policies.

이를 위해 자동화 관리 장치(210)는 도 6과 같이 정책 수명 관리부(610)를 더 포함할 수 있다.To this end, the automation management apparatus 210 may further include a policy lifespan management unit 610 as shown in FIG. 6 .

정책 수명 관리부(610)는 방화벽 정책 DB(217)에 저장된 다수의 적용 정책 정보의 적용 만료 기한 정보를 확인할 수 있다.The policy lifetime management unit 610 may check application expiration date information of a plurality of applied policy information stored in the firewall policy DB 217 .

이를 통해 정책 수명 관리부(610)는 제1 기간이 경과된 시점에 적용 만료 일이 도래하는 적용 정책 정보인 만료 예정 정책 정보를 방화벽 정책 DB(217)에서 선별한 후에 만료 예정 정책 정보에 대한 갱신 요청 메시지를 생성할 수 있다. Through this, the policy lifespan management unit 610 selects, from the firewall policy DB 217, the expected expiration policy information, which is the application policy information for which the application expiration date arrives when the first period elapses, and then requests an update of the scheduled expiration policy information. You can create a message.

그리고 갱신 요청 메시지를 신청자 단말기(미도시) 또는 관리자 단말기(미도시)로 전송할 수 있다. 여기서, 신청자 단말기(미도시)는 만료 예정 정책 정보를 신청한 신청자의 단말기이고, 관리자 단말기(미도시)는 정책 관리 시스템(200)을 관리하는 관리자의 단말기일 수 있다. 그리고 갱신 요청 메시지는 이메일 형식, 단문 메시지 형식 등으로 생성될 수 있다.In addition, the update request message may be transmitted to the applicant terminal (not shown) or the manager terminal (not shown). Here, the applicant terminal (not shown) may be a terminal of an applicant who has applied for expiration date policy information, and the manager terminal (not shown) may be a terminal of an administrator who manages the policy management system 200 . In addition, the update request message may be generated in an e-mail format, a short message format, or the like.

정책 수명 관리부(610)는 만료 예정 정책 정보가 갱신될 때까지 갱신 요청 메시지를 2회 이상 전송할 수 있다.The policy lifetime management unit 610 may transmit the update request message twice or more until the expiration date policy information is updated.

예를 들어, 제1 기간이 30일인 경우, 정책 수명 관리부(610)는 현재로부터 30일 이후에 적용 만료일이 도래하는 만료 예정 정책 정보를 방화벽 정책 DB(217)에서 선별할 수 있다. 그리고 정책 수명 관리부(610)는 만료 예정 정책 정보에 대한 갱신 요청 메시지를 신청자 단말기(미도시) 또는 관리자 단말기(미도시)에 1차 전송하고 기설정된 기간(예를 들어, 5일)가 도래한 시점에도 만료 예정 정책 정보가 미갱신되어 있으면 갱신 요청 메시지를 2차 전송할 수 있다.For example, when the first period is 30 days, the policy lifetime management unit 610 may select from the firewall policy DB 217 the policy information about to expire whose application expiration date arrives after 30 days from the present. In addition, the policy life management unit 610 first transmits an update request message for the policy information scheduled to expire to the applicant terminal (not shown) or the manager terminal (not shown), and a preset period (eg, 5 days) arrives. If the expiration date policy information is not updated even at the time, the update request message may be transmitted secondarily.

한편, 적용 만료일이 도래할 때까지 만료 예정 정책 정보가 미갱신된 경우, 정책 수명 관리부(610)는 만료 예정 정책 정보에 대한 적중 횟수(Hit Count) 및 중요도 중 하나 이상을 방화벽 정책 DB(217)에서 확인할 수 있다. 여기서, 적중 횟수는 방화벽 정책이 사용된 횟수를 의미할 수 있다.On the other hand, when the expiration date policy information is not updated until the application expiration date arrives, the policy life management unit 610 sets one or more of the hit count and importance for the expiration policy information to the firewall policy DB 217 . can be found in Here, the number of hits may mean the number of times the firewall policy is used.

만료 예정 정책 정보의 적중 횟수가 기설정된 기준 횟수 이상이거나 중요도가 기설정된 수준 이상인 경우, 정책 수명 관리부(610)는 만료 예정 정책 정보에 대한 확인 요청 메시지를 생성할 수 있다.When the number of hits of the scheduled expiration policy information is equal to or greater than the preset reference number or the importance is greater than or equal to a preset level, the policy life management unit 610 may generate a confirmation request message for the scheduled expiration policy information.

그리고 확인 요청 메시지를 관리자 단말기(미도시)로 전송할 수 있다.In addition, a confirmation request message may be transmitted to the manager terminal (not shown).

만료 예정 정책 정보의 적중 횟수가 기설정된 기준 횟수 미만이거나 중요도가 기설정된 수준 미만인 경우, 정책 수명 관리부(610)는 방화벽 정책 DB(217)에서 만료 예정 정책 정보를 삭제할 수 있다.When the number of hits of the scheduled expiration policy information is less than the preset reference number or the importance is less than the preset level, the policy lifespan management unit 610 may delete the expiration policy information from the firewall policy DB 217 .

일 실시예에서 정책 수명 관리부(610)는 방화벽 정책 DB(217)에 저장된 다수의 적용 정책 정보 중에서 적용 기간이 제2 기간 이상인 하나 이상의 적용 정책 정보를 선별할 수 있다.In an embodiment, the policy lifetime management unit 610 may select one or more applied policy information whose application period is equal to or greater than the second period from among a plurality of applied policy information stored in the firewall policy DB 217 .

그리고 하나 이상의 적용 정책 정보 각각의 적중 횟수를 확인한 후에 하나 이상의 적용 정책 정보 중에서 적중 횟수가 "0"인 미사용 정책 정보를 선별할 수 있다.In addition, after checking the number of hits of each of the one or more applied policy information, unused policy information having a hit count of “0” may be selected from among the one or more applied policy information.

이후, 정책 수명 관리부(610)는 미사용 정책 정보에 검토 요청 메시지를 신청자 단말기(미도시) 또는 관리자 단말기(미도시)로 전송할 수 있다.Thereafter, the policy life management unit 610 may transmit a review request message to the unused policy information to the applicant terminal (not shown) or the manager terminal (not shown).

이를 통해 신청자 단말기(미도시) 또는 관리자 단말기(미도시)에서 미사용 정책 정보에 대한 삭제 또는 유지를 결정하여 정책 관리 시스템(200), 즉 정책 수명 관리부(610)로 요청할 수 있게 된다.Through this, it is possible to make a request to the policy management system 200 , that is, the policy lifecycle management unit 610 by determining deletion or maintenance of unused policy information in the applicant terminal (not shown) or the manager terminal (not shown).

만약, 신청자 단말기(미도시) 또는 관리자 단말기(미도시)에서 미사용 정책 정보에 대한 삭제를 요청한 경우, 정책 수명 관리부(610)는 API 브로커 장치(220)를 통해 다수의 방화벽 장치(300) 중에서 하나 이상의 방화벽 장치에 적용중인 미사용 정책 정보를 삭제할 수 있다.If the applicant terminal (not shown) or the manager terminal (not shown) requests the deletion of unused policy information, the policy life management unit 610 is one of a plurality of firewall devices 300 through the API broker device 220 . Unused policy information applied to more than one firewall device can be deleted.

이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥 상의 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Terms such as "include", "compose" or "have" described above mean that the corresponding component may be embedded unless otherwise stated, so it does not exclude other components. It should be construed as being able to further include other components. All terms, including technical and scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs, unless otherwise defined. Terms commonly used, such as those defined in the dictionary, should be interpreted as being consistent with the meaning of the context of the related art, and are not interpreted in an ideal or excessively formal meaning unless explicitly defined in the present invention.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical spirit of the present invention, and various modifications and variations will be possible without departing from the essential characteristics of the present invention by those skilled in the art to which the present invention pertains. Accordingly, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed by the following claims, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.

Claims (9)

하나 이상의 신규 정책 정보에 대한 유효성을 검증하고, 내부 네트워크에 설치된 다수의 방화벽 장치 중에서 상기 하나 이상의 신규 정책 정보를 적용할 방화벽 장치인 적용 대상 장치를 하나 이상 선정하며, 상기 하나 이상의 적용 대상 장치에 적용된 기적용 정책 정보와 상기 하나 이상의 신규 정책 정보를 병합한 후에 상기 하나 이상의 적용 대상 장치 중에서 일 적용 대상 장치의 정책 적용 시각이 도래하면, 정책 정보의 병합으로 인해 갱신된 정책 정보 또는 추가된 정책 정보와 상기 일 적용 대상 장치의 방화벽 장치 정보를 포함하는 정책 적용 요청 메시지를 표준화된 형식으로 생성 및 전달하는 자동화 관리 장치; 및
상기 자동화 관리 장치로부터 상기 정책 적용 요청 메시지를 전달받고, 상기 정책 적용 요청 메시지에서 상기 방화벽 장치 정보를 확인한 후에 상기 방화벽 장치 정보에 해당하는 특정 API(Application Programming Interface) 구문 정보를 사용하여 상기 정책 적용 요청 메시지를 변환하며, 상기 일 적용 대상 장치의 통신 프로토콜을 이용하여 상기 변환한 정책 적용 요청 메시지를 상기 일 적용 대상 장치로 전달하는 API 브로커 장치
를 포함하는 방화벽 정책 관리 시스템.Verifies the validity of one or more new policy information, selects at least one application target device that is a firewall device to which the one or more new policy information is to be applied from among a plurality of firewall devices installed in the internal network, After merging the new policy information and the one or more new policy information, when the policy application time of one application target device among the one or more application target devices arrives, the policy information updated due to the merging of policy information or the added policy information and an automated management device for generating and delivering a policy application request message including firewall device information of the one application target device in a standardized format; and
After receiving the policy application request message from the automation management device, and checking the firewall device information in the policy application request message, the policy application request is made using specific API (Application Programming Interface) syntax information corresponding to the firewall device information. An API broker device that converts a message and transmits the converted policy application request message to the one application target device by using the communication protocol of the one application target device
A firewall policy management system that includes. 제 1 항에 있어서,
상기 하나 이상의 신규 정책 정보 각각은 출발지 IP(Internet Protocol), 목적지 IP, 목적지 포트 번호, 상기 적용 대상 장치에서 접근을 통제하는 하나 이상의 애플리케이션 정보, 하나 이상의 URL(Uniform Resource Locator) 정보 및 정책 사용 기한을 포함하고,
상기 자동화 관리 장치는 상기 출발지 IP와 목적지 IP까지의 네트워크 경로 상에 존재하는 하나 이상의 방화벽 장치를 탐색하고, 탐색한 하나 이상의 방화벽 장치를 상기 적용 대상 장치로 선정하는 방화벽 정책 관리 시스템.The method of claim 1,
Each of the one or more new policy information includes a source IP (Internet Protocol), a destination IP, a destination port number, one or more application information for controlling access in the applied target device, one or more URL (Uniform Resource Locator) information, and a policy usage period. including,
The automated management device discovers one or more firewall devices existing on a network path from the source IP to the destination IP, and selects the one or more firewall devices as the application target device. 제 1 항에 있어서,
상기 자동화 관리 장치는 표준화된 메시지 교환 방식을 통해 상기 정책 적용 요청 메시지를 상기 API 브로커 장치로 전달하는 방화벽 정책 관리 시스템.The method of claim 1,
The automated management device is a firewall policy management system for delivering the policy application request message to the API broker device through a standardized message exchange method. 제 1 항에 있어서,
상기 API 브로커 장치는 상기 다수의 방화벽 장치 각각에 대한 Qos(Quality Of Service) 정보를 저장하는 방화벽 정책 관리 시스템.The method of claim 1,
The API broker device is a firewall policy management system for storing Quality Of Service (Qos) information for each of the plurality of firewall devices. 제 4 항에 있어서,
상기 API 브로커 장치는 상기 정책 적용 요청 메시지의 데이터량과 상기 일 적용 대상 장치의 Qos 정보에 포함된 단위 시간당 데이터 전송 허용량을 비교한 후에 상기 정책 적용 요청 메시지의 데이터량이 상기 단위 시간당 데이터 전송 허용량을 초과하되 초과량이 일정 기준 미만이면, 큐(Queue) 처리 방식을 통해 상기 정책 적용 요청 메시지를 상기 일 적용 대상 장치에 전달하는 방화벽 정책 관리 시스템.5. The method of claim 4,
The API broker device compares the data amount of the policy application request message with the permissible data transmission per unit time included in the Qos information of the one application target device, and then the data amount of the policy application request message exceeds the permissible data transmission per unit time However, if the excess amount is less than a certain standard, the firewall policy management system for delivering the policy application request message to the one application target device through a queue processing method. 제 1 항에 있어서,
상기 자동화 관리 장치는 상기 다수의 방화벽 장치에 적용중인 다수의 적용 정책 정보 중에서 적용 기간이 기설정된 기준을 초과하는 하나 이상의 적용 정책 정보를 선별하고, 상기 하나 이상의 적용 정책 정보 각각의 적중 횟수(Hit Count)를 확인한 후에 상기 하나 이상의 적용 정책 정보 중에서 적중 횟수가 "0"인 미사용 정책 정보가 존재하면, 상기 미사용 정책 정보에 대한 검토 요청 메시지를 생성하여 상기 정책 관리 시스템을 관리하는 관리자 단말기로 상기 검토 요청 메시지를 전송하는 방화벽 정책 관리 시스템.The method of claim 1,
The automated management device selects one or more application policy information for which an application period exceeds a preset criterion from among a plurality of application policy information being applied to the plurality of firewall devices, and the number of hits (Hit Count) of each of the one or more application policy information ), if there is unused policy information with a hit count of “0” among the one or more applied policy information, a review request message is generated for the unused policy information and the review request is made to an administrator terminal that manages the policy management system A firewall policy management system that sends messages. 신규 정잭 정보가 적용될 방화벽 장치인 일 적용 대상 장치의 방화벽 장치 정보를 포함한 정책 적용 메시지를 전달받고, 상기 정책 적용 메시지의 데이터량과 상기 방화벽 장치 정보에 해당하는 단위 시간당 데이터 전송 허용량을 비교하여 상기 정책 적용 요청 메시지의 데이터량이 상기 단위 시간당 데이터 전송 허용량을 초과하되, 초과량이 일정 기준 미만이면, 큐(Queue) 처리 방식을 통해 상기 정책 적용 요청 메시지를 분할해서 전달하는 Qos(Quality Of Service) 제어부;
다수의 방화벽 모델별로 상이한 통신 프로토콜이 적용된 다수의 모델별 통신 모듈을 포함한 방화벽 모델별 통신부; 및
상기 Qos 제어부로부터 상기 정책 적용 요청 메시지를 분할해서 전달받고, 상기 방화벽 장치 정보에 해당하는 특정 API(Application Programming Interface) 구문 정보를 사용하여 상기 정책 적용 요청 메시지를 변환한 후에 상기 방화벽 장치 정보에 해당하는 통신 프로토콜이 적용된 특정 통신 모듈을 통해 상기 변환한 정책 적용 요청 메시지를 상기 일 적용 대상 장치로 전달하는 API 변환부
를 포함하는 방화벽 제어 장치.Receives a policy application message including firewall device information of one application target device, which is a firewall device to which the new static information is to be applied, and compares the data amount of the policy application message with the allowable amount of data transmission per unit time corresponding to the firewall device information to determine the policy a quality of service (Qos) control unit that divides and delivers the policy application request message through a queue processing method when the data amount of the application request message exceeds the allowable data transmission per unit time, but the excess amount is less than a predetermined standard;
a communication unit for each firewall model including a plurality of model-specific communication modules to which different communication protocols are applied for a plurality of firewall models; and
After dividing and receiving the policy application request message from the Qos control unit, and converting the policy application request message using specific API (Application Programming Interface) syntax information corresponding to the firewall device information, the firewall device information corresponding to the API conversion unit for transferring the converted policy application request message to the one application target device through a specific communication module to which a communication protocol is applied
A firewall control device comprising a. 제 7 항에 있어서,
상기 API 변환부는 상기 변환한 정책 적용 요청 메시지를 분할해서 상기 일 적용 대상 장치로 전달하는 방화벽 제어 장치.8. The method of claim 7,
The API conversion unit divides the converted policy application request message and transmits it to the one application target device. 제 7 항에 있어서,
상기 큐 처리 방식은 FIFO(First In First Out) 방식, PQ(Priority Queuing) 방식, FQ(Fair Queuing) 방식 및 WFQ(Weighted Fair Queuing) 방식을 포함하는 방화벽 제어 장치.8. The method of claim 7,
The queue processing method is a firewall control device including a First In First Out (FIFO) method, a Priority Queuing (PQ) method, a Fair Queuing (FQ) method, and a Weighted Fair Queuing (WFQ) method.
KR1020200135619A 2020-10-20 2020-10-20 Firewall control device and firewall policy management system including the same KR102312019B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200135619A KR102312019B1 (en) 2020-10-20 2020-10-20 Firewall control device and firewall policy management system including the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200135619A KR102312019B1 (en) 2020-10-20 2020-10-20 Firewall control device and firewall policy management system including the same

Publications (1)

Publication Number Publication Date
KR102312019B1 true KR102312019B1 (en) 2021-10-12

Family

ID=78078469

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200135619A KR102312019B1 (en) 2020-10-20 2020-10-20 Firewall control device and firewall policy management system including the same

Country Status (1)

Country Link
KR (1) KR102312019B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172718A (en) * 2021-12-03 2022-03-11 北京天融信网络安全技术有限公司 Security policy configuration method and device, electronic equipment and storage medium
KR102430988B1 (en) 2022-02-10 2022-08-11 (주)제너럴데이타 Method, device and system for controlling policy setting of host firewall based on artificial intelligence
KR20230076594A (en) * 2021-11-24 2023-05-31 고인구 A heterogeneous firewall managemnent system based on digital twin and a method for managing the heterogeneous firewall
KR20230099380A (en) * 2021-12-27 2023-07-04 주식회사 엘로이큐브 Firewall policy application automation server, system having the same, and method using the same

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010068051A (en) * 2001-04-17 2001-07-13 오경수 Method for high speed policy distinction in firewall system
KR20180102884A (en) * 2017-03-08 2018-09-18 주식회사 시큐아이 Firewall and processing method for packet thereof
KR20180132868A (en) * 2016-04-12 2018-12-12 크리프트존 노스 아메리카, 아이엔씨. System and method for protecting network devices by firewalls
KR20190026185A (en) * 2017-09-04 2019-03-13 삼성에스디에스 주식회사 Method and apparatus for analyzing firewall policy

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010068051A (en) * 2001-04-17 2001-07-13 오경수 Method for high speed policy distinction in firewall system
KR20180132868A (en) * 2016-04-12 2018-12-12 크리프트존 노스 아메리카, 아이엔씨. System and method for protecting network devices by firewalls
KR20180102884A (en) * 2017-03-08 2018-09-18 주식회사 시큐아이 Firewall and processing method for packet thereof
KR20190026185A (en) * 2017-09-04 2019-03-13 삼성에스디에스 주식회사 Method and apparatus for analyzing firewall policy

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230076594A (en) * 2021-11-24 2023-05-31 고인구 A heterogeneous firewall managemnent system based on digital twin and a method for managing the heterogeneous firewall
KR102597853B1 (en) * 2021-11-24 2023-11-03 고인구 A heterogeneous firewall managemnent system based on digital twin and a method for managing the heterogeneous firewall
CN114172718A (en) * 2021-12-03 2022-03-11 北京天融信网络安全技术有限公司 Security policy configuration method and device, electronic equipment and storage medium
CN114172718B (en) * 2021-12-03 2024-01-23 北京天融信网络安全技术有限公司 Security policy configuration method and device, electronic equipment and storage medium
KR20230099380A (en) * 2021-12-27 2023-07-04 주식회사 엘로이큐브 Firewall policy application automation server, system having the same, and method using the same
KR102649648B1 (en) * 2021-12-27 2024-03-21 주식회사 엘로이큐브 Firewall policy application automation server, system having the same, and method using the same
KR102430988B1 (en) 2022-02-10 2022-08-11 (주)제너럴데이타 Method, device and system for controlling policy setting of host firewall based on artificial intelligence

Similar Documents

Publication Publication Date Title
KR102312019B1 (en) Firewall control device and firewall policy management system including the same
US9571523B2 (en) Security actuator for a dynamically programmable computer network
US20170289106A1 (en) Applying security policy to an application session
JP4630896B2 (en) Access control method, access control system, and packet communication apparatus
CN104954386B (en) A kind of network anti-hijacking method and device
CN103404093A (en) Communication system, database, control device, communication method and program
KR100904557B1 (en) Unification management system for different types of firewalls and method therof
EP3295652B1 (en) Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment
JP2008504776A (en) Method and system for dynamic device address management
CN111416822A (en) Method for access control, electronic device and storage medium
CN112788031A (en) Envoy architecture-based micro-service interface authentication system, method and device
US20060150243A1 (en) Management of network security domains
CN113194099B (en) Data proxy method and proxy server
US20170024187A1 (en) Automated approval
CN111327602B (en) Equipment access processing method, equipment and storage medium
KR101764339B1 (en) Remote device management method using integrated console switch
US7890995B2 (en) System and method for remote management of communications networks
EP1973270A1 (en) Broadband service delivery
JPH09325927A (en) Remote network management system
CN109587134A (en) Method, apparatus, equipment and the medium of the safety certification of interface bus
CN106462443B (en) Method and system for managing nodes
KR102110815B1 (en) An access control system with onetime password function for access security
JP6359260B2 (en) Information processing system and firewall device for realizing a secure credit card system in a cloud environment
JP2003140987A (en) System, method and program for supporting security audit
CN111988269A (en) Policy management system providing authorization information via distributed data stores

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant